製造業向けSBOM・サイバーセキュリティ関連サービス
近年、ソフトウェア開発におけるオープンソースソフトウェア(OSS)利活用の拡大に伴うライセンス・脆弱性リスクによる損害の防止や、説明責任、規制対応を果たすため、SBOM(Software Bill of Materials)と呼ばれるソフトウェアに含まれるOSSを管理できる部品表の整備が自動車・医療業界をはじめ様々な分野で求められています。
Covalentでは製品開発におけるOSS管理のプランを策定し、お客様に見合った最適なSBOMツールと選定と運用体制の設計を得意としています。また、SBOMの運用人員の確保が難しいお客様の代わりにSBOM運用を代行することも可能です。
経済産業省のSBOM実証への参画経験や、SBOM導入・運用業務の経験、海外における最新のSBOM活用の知見が特長です。OSS管理について何から手を付ければよいか分からない方には無料診断も可能です。
また、近年話題の各業界におけるサイバーセキュリティ法規(自動車業界のWP29・ISO/SAE 21434、IoT機器のETSI 303 645、FA機器のISA/IEC62443)への対策において何を実施するべきかの診断や、対策の実行支援サービスも提供しております。海外調査能力の高い弊社の強みを活かしたサービスです。
アウトプットイメージ等サービスの詳細を把握されたい場合は以下より詳細資料をご請求ください。
また、約60種類のSBOMツールをカバーした調査レポートも提供しております。お気軽にお問合せください。
Partnership
パートナーシップ
海外の主要なSBOMツールについては全てご紹介が可能です。
ISSUES
イシュー
-
そもそもSBOMとは何か、自社に必要か否か分からない
-
WP29対応に向けてSBOM導入が必要なのは分かるが、具体的に必要な業務が詳しく分からない
-
SBOMに関する海外同業他社の取り組み内容を知りたい
-
SBOM導入のスケジュールが分からない
SBOMツール導入・運用構築に関するお悩み
-
SBOMツールの運用設計をどうすればよいか分からない
-
SBOM対応に伴い、対OEM・対サプライヤの契約をどう変更必要か、いかに交渉すべきか分からない
-
SBOMツールを導入したはいいが、使い方が分からない・使う時間が無い等で、全く使われていない
SBOM導入検討に関するお悩み
SBOMツールの選定に関するお悩み
-
あまたあるSBOMツールのどれが良いのか分からない
-
そもそも、自社のSBOMツールに対する要件を定義できず、ツール評価のしようがない
-
SBOMツールを実際に試し、評価選定をする時間が取れない
SERVICE MENU
サービスメニュー
導入プラン策定支援
まずはお客様のOSS管理に関する法令や規格上の要件、ニーズなどから実施要領を整理します。それを踏まえ、お客様に必要なSBOM運用、OSSセキュリティ・コンプライアンス対応と、お客様の現状とのギャップを埋めるためのアクティビティを設計し、各国法令・国際規格、OEM対応上のデッドラインや、他社事例でのSBOM導入タイムライン等を踏まえてSBOM導入スケジュールを設計します。
SBOMツールのPoC・選定支援
お客様の開発環境や取引先の要求・関連法令等を踏まえSBOMツールの評価選定基準を策定します。評価上の必要情報が得られますよう、SBOMツールのPoCを計画・実行します。評価選定基準とPoC結果を踏まえ、最適なSBOMツールを選定します。なお、弊社は主要なSBOMツールについて全て利用実績がございます。
SBOMツール導入・運用構築支援
選定したSBOMツールを運用できるようにセットアップします。具体的には選定したSBOMツールに見合った運用業務と役割分担、運用ルール、運用体制を整備します。取引先との契約に具備するSBOM運用上必要な条項についても適宜反映させて頂きます。自社でのSBOM対応人員確保が難しい場合は弊社でのSBOM運用によるOSS部品管理、脆弱性・ライセンス管理の運用支援サービスも提供できます。
APPROACH
アプローチ
導入プラン策定支援
1
1
政府・規制情報調査
約1週間
4
SBOM対応基準・体制設計
約2週間
2
他社ベンチマーク調査
約1か月~
5
導入スケジュール設計
約2週間
3
契約体系整備支援
約2週間
1
政府・規制情報調査
約1週間
国内・海外のOSS管理、脆弱性・ライセンス管理・対応に関連する法律・規制の列挙し、その中で定められている義務内容、責任範囲等について整理します。
アウトプット:関連法規内容の調査結果
2
他社ベンチマーク調査
約1カ月~
他社事例における、OSS管理、脆弱性・ライセンス管理・対応での責任範囲・担当範囲や運用ルール(例:検出タイミング・更新頻度、脆弱性・ライセンス違反検出時の対応要否判断基準・標準対応時間等)、各作業の成果物フォーマット、OSS管理、脆弱性・ライセンス管理・対応上使用しているSBOMツールや連携ツール、発生した課題と解決方法を調査して取りまとめます。
アウトプット:先行事例の調査結果
3
契約体系整備支援
約2週間
OEM/Tier1/Tier2間の契約における、OSS/脆弱性/ライセンス検出と脆弱性・ライセンス違反時の義務内容や、開発範囲に対するOSS検出・脆弱性管理・ライセンス管理の実施主体と、責任主体(金銭負担・法的責任を負う者)の契約スキームを整備します。脆弱性・ライセンス違反対応の不備による想定損失額の診断、コンプライアンスリスク・サイバーセキュリティ事故の潜在インパクトを類似事例から試算して取りまとめます(セキュリティ関連法規の専門弁護士の最終チェックも行います)。
アウトプット:契約スキーム(経済条件、役割・責任範囲)の整理
4
SBOM対応基準・体制設計
約2週間
他社ベンチマークや、各種法令・国際規格、OEMのサプライヤへの要件を踏まえ、お客様に必要なSBOM運用、OSSセキュリティ・コンプライアンス対応と、お客様現状とのギャップを埋めるためのアクティビティを設計します。
アウトプット:SBOM運用ルール概要
5
導入スケジュール設計
約2週間
各国法令・国際規格、OEM対応上のデッドラインや、他社事例でのSBOM導入タイムライン等を踏まえ、お客様におけるSBOM導入プロセスやスケジュールを設計します。また、お客様への導入にあたり必要なPoCの種類・期間を整理します。
アウトプット:SBOM導入スケジュール全体像およびPoCの実施スケジュール
SBOMツールのPoC・選定支援
1
1
お客様におけるSBOMツールの要件定義
約1週間
4
PoCの実行
約2週間
2
PoC対象とするSBOMツール候補の絞り込み
約1か月~
5
PoC結果に基づくSBOMツール選定
約2週間
3
PoC計画の策定
約2週間
1
お客様におけるSBOMツールの要件定義
約1週間
お客様の開発SWや開発プロセス・環境(例:ソースコードにアクセス可能か)、関連法令・取引先からの要件、お客様予算等に基づき、お客様で導入すべきSBOMツールの要件を定義します。
アウトプット:要件定義結果
2
PoC対象とするSBOMツール候補の絞り込み
1カ月~
要件定義を基に、該当し得るSBOMツールの候補を調査の上、有望な選択肢をご提示致します。
アウトプット:SBOMツール候補
3
PoC計画の策定
1カ月~
要件定義に基づき、ツールの評価選定基準と選定のためSBOMツールのPoCにおいて検証必要な項目および検証方法を策定します。また、PoC実施に必要なお客様データの要件を整理します。
アウトプット:PoCの実行計画
4
PoCの実行
1カ月~
策定した計画に沿ってPoCを実行します。弊社がツールベンダとの折衝・PoC時の作業を代行するハンズオンでの支援も可能です。
アウトプット:PoC実行結果
1
5
PoC結果に基づくSBOMツール選定
約2週間
PoC結果を整理の上、評価選定基準に基づきお客様に最適なツールを選定します。
アウトプット:SBOMツール選定結果
SBOMツールのPoC・選定支援
1
SBOMツールのセットアップ
約1週間
4
SBOM運用体制の設計
約2週間
2
SBOM運用業務と役割分担の設計
約1か月~
5
取引先との契約体系
約2週間
3
SBOM運用ルールの設計
約2週間
1
SBOMツールのセットアップ
約1週間
お客様のOSS管理の対応上合理的な機能/性能と導入・運用コストを有するSBOMツールをセットアッ。プします。SBOMツールと連携が必要な開発ツールについても合わせてセットアップします。
アウトプット:SBOMツールの導入準備
2
SBOM運用業務と役割分担の設計
約1週間
SBOM運用に必要かつ、法規対応も加味した業務の定義(例:OSS検出⇒誤検知・検知漏れ修正⇒・・・)の上、運用業務上必要な役割を設計します。
アウトプット:SBOM運用業務の概要と役割分担
3
SBOM運用ルールの設計
約1週間
SBOM運用に関わる詳細なルールを設計します。OSS/脆弱性/ライセンス検出・対応の責任/担当範囲、業務の実行タイミング・頻度、OSS/脆弱性/ライセンス検出・対応の標準対応時間、脆弱性・ライセンス違反検出時の対応要否判断基準等を検討します。
アウトプット:SBOM運用ルールの詳細
4
SBOM運用体制の設計
約1週間
運用業務上必要な各役割の担当部署・役職、担当者と、担当者間の連携ルール(例:脆弱性・ライセンス違反検知時のエスカレーションルール)を設計します。
アウトプット:SBOM運用体制の詳細
5
取引先との契約体系
約2週間
SBOM運用業務に関する、OEM・サプライヤとの作業分担、金銭負担・法的責任の所在を明確化し、契約への反映を支援します。
アウトプット:契約体系及び契約書
ADVANTAGE
アドバンテージ
SBOM・OSS管理に関する国際規格・関連法令の策定、ベストプラクティスの蓄積、SBOMツールの整備は欧米主体で進んでおり、欧米の情報のキャッチアップ無くして適切なOSS管理を推進するのは難しいのが実態です。
この点、弊社では各種リサーチサービスを通じて、海外先端技術・市場動向の調査を多数支援させて頂いた実績がございます。この中には、自動車業界はじめ製造業における海外競合の先端技術導入・運用状況や、業界国際規格の策定動向・内容分析の実績も含まれます。
また、弊社には海外リサーチに適した海外ネットワークも広く有しており、欧米の自動車業界におけるSBOM・OSS管理の実務経験者や、サイバーセキュリティに関する政策関係者も含まれます。
SBOM導入プランの策定にあたっても、弊社の海外リサーチのノウハウおよびネットワークを活用し、お客様がSBOM・OSS管理の最新動向・ベストプラクティスを把握頂けるよう支援致します。
海外のSBOM活用の最新動向を把握可能です。
弊社ではAIやブロックチェーン、デジタルツイン、ロボティクス、3Dプリンタをはじめ、海外先端技術を日本企業のお客様が導入・共同開発するのを多数支援させて頂いた実績がございます。この中では、技術の特性・お客様の業務実態を踏まえた要検証事項・お客様社内の承認プロセスを踏まえた段取りを洗い出しの上で導入スケジュールを取りまとめることも実施しております。
SBOM導入プランの策定にあたっても、弊社の先端技術導入支援のノウハウを活用し、お客様が導入までに必要なステップを最短距離で実施し、最適なSBOM・OSS管理を実現できるよう支援致します。
お客様にとって現実的な導入スケジュールを設計できます。
弊社は、経済産業省が2021年度に実施した国内でのSBOM活用促進に向けた実証に参加し、SBOM活用のコスト・効果を検証した実績がございます。この中では、コスト・効果を検証するための必要情報および実証作業の設計や、6種類のSBOM・OSS管理ツールを実際に導入・操作することでのSBOMの生成・SBOMを用いたOSS管理の試行も担っております。
その経験も踏まえ、特にツール間の差が出やすい検証ポイントや、お客様の開発環境・業務実態に応じて設計必要なPoCの条件等、SBOMツールの評価における勘所を抑えたPoC設計・実行を支援可能です。また、弊社にてPoCの実作業を代行することも可能です。
経済産業省のSBOM実証経験に基く、適切なSBOMツールのPoCが可能です。
単に技術スペックが高いツール、導入実績が多いツールが必ずしもお客様のビジネスで効果を創出するとは限りません。そこで、弊社はお客様の戦略上の力点や、課題、現場業務のQCD効果等を分析の上、お客様の効果創出に繋がるツールの要件を特定し、以降の調査・評価に反映します。
お客様のビジネス・業務実態を踏まえ、適切なPoCの評価軸を設計できます。
海外でのSBOM運用のベストプラクティスや、競合他社の運用事例が、そのままお客様の最適なSBOM運用となるとは限りません。開発環境や業務実態、取引先との契約関係、SBOM・OSS管理への理解度等、お客様の事情を踏まえずに運用設計を行った場合、非効率あるいは過剰な対応となるリスクもあります。
そこで、弊社では関連法令や海外のベストプラクティス・他社事例は踏まえつつも、お客様の選定されたSBOMツールの特性や、開発業務・取引先との契約の実態を理解の上、必要最低限の運用業務・体制の設計を図ります。
弊社は、経済産業省が2021年度に実施したSBOM実証に参加し、実証作業の設計や、6種類のSBOM・OSS管理ツールの導入・操作も実際に経験しております。その経験も基に、OSS管理プロセスの全体像からSBOMツールの操作レベルまで運用設計・ご提案可能です。
また、弊社は、車載用組込ソフトウェア開発および開発ツールの構築を手掛ける株式会社NTTデータオートモビリジェンス研究所と提携しており、車載用組込ソフトウェア開発の実態を踏まえた検討が可能な体制にある他、お客様の開発現場の複雑なご事情・専門的なご要望についてもキャッチアップ可能です。
SBOM運用の実作業の経験と、自動車業界における組込ソフトウェア開発への知見を組み合わせた、現実的なSBOM運用をご提案可能です。
SBOMツールの操作習得に時間がかかる等、担当者の育成にお悩みのお客様も少なくありません。また、WP29等国際規格の適用範囲拡大等でSBOM運用の実施範囲が今後拡大すると、お客様内でSBOM運用のための人員を充てることが難しくなる可能性もございます。
弊社ではそのような悩みを持つ企業様のためにSBOM運用業務の代行サービスも提供しております。弊社は主要なSBOMツールについて全て利用実績あるため、お客様社内で習得するよりも短いリードタイムでSBOM運用を開始できます。また、弊社はポールトゥウィン株式会社とも提携しており、お客様のSBOM運用が大規模になった場合でも代行可能な体制を整備しております。
弊社パートナーのリソースも生かし、SBOM運用が大規模化しても代行が可能です。
OUTPUT
アウトプット
SBOMスキャンによるOSS一覧
SBOMツールを用いてお客様のソフトウェア製品に含まれるOSS一覧を整理します。
必要に応じて取引先様への確認も代行させて頂き正確なOSS一覧を作成させて頂きます。
OSS管理体制構築
お客様の製品に含まれているOSSについて、脆弱性リスクやコンプライアンスリスクに対応するためのルールや運用体制を構築します。自社内で実施する内容と社外協力者に依頼する範囲の切り分けも含めて整理致します。
OSS運用支援
本業ではない、専門性がない、など様々な理由で自社にて対応する選択を選ばないお客様の代わりにOSSの運用を代行させて頂きます。週次のレポート提供はもちろん、有事の際には即座に連絡させて頂き解決するまでご支援を続けさせて頂きます。
TRACK RECORD
実績
KPI
クライアント業種数 4業種
複数回契約のクライアント割合 約95.5%
効果を得られたプロジェクト割合 100%
平均契約期間 約6か月間
取り扱いSBOMツール数 60種類
スペシャリストメンバー数 約9名
CASE STUDY
CLIENTS’ VOICE
お客様の声
大手自動車部品メーカー様
海外で実績ある事例に基づく提案が助かった
国内ではまだ実績が非常に少ない中、海外の大手競合での事例に基づいた提案が非常に役立った。やりすぎかどうか判断し難い時には特に助かりました。
また、経営層に報告する際も資料の大部分を取りまとめ頂きコンサルティングとしても非常に貢献頂き今後も継続してお取引を続けたいと思います。
大手ソフト開発会社様
運用を第三者に任せる利便性を感じました
当初はソフトウェア資産の棚卸と管理を第三者に依頼することにリスクが高いと考えるメンバーもいましたが、正しくOSSを洗い出して頂きベンダーへの確認作業も含めて担って頂き非常に有意義に感じました。
その後の運用もお任せするのは当然の流れでしたがハードルが高い社内調整も一緒に進めて頂けたことで無事委託することができて非常に助かってます。